電腦處理個人資料保護法之規範

「電資法」為我國目前與個人資料保護工作最相關之專法，故本 文單獨提出介紹，並針對本法在我國之適用情況提出評析。

壹、電資法介紹 一、立法背景

由於資訊科技的快速發展，有關於個人資料諸如姓名、特徵、婚 姻、健康、財務狀況等足資識別該個人的隱私事項，為政府或企業廣 泛蒐集，並多以靜態資料庫甚至線上資料庫型態儲存、得以大量且迅 速處理、利用並傳遞。

為因應上述資訊社會中，政府或企業對個人隱私權的可能侵害，

我國於 1990 年間及開始研擬相關規範，並於 1992 年間完成《電腦處 理個人資料保護法》草案，並於 1995 年 7 月 12 日經立法院三讀通過，

經總統於同年 8 月 11 日公布施行、8 月 13 日生效；本法之施行細則亦 於 1995 年 12 月底完成草案，經行政院審查完畢後，於 1996 年 5 月 1 日經法務部發布施行，共 6 章 45 條，成為我國保護個人資料的重要法 律依據，並具有個人資料保護的基本法地位，可以說是我國數位時代 隱私權保護的關鍵所在¹³⁷。

二、立法意旨

「電資法」的立法，係為因應資訊化社會的發展，另一方面亦足 以顯示個人隱私權益逐漸受重視¹³⁸。「電資法」第 1 條規定：「為規範電 腦處理個人資料，以避免人格權遭受侵害，並促進個人資料之合理利 用，特制訂本法。」明白說明本法立法目的在於保障個人資料，避免 人格權遭受侵害。此一人格權之概念，依本文權利基礎之探討及其後

137 參閱劉靜怡，同註 121。

138 同註 29。

我國民法修訂一般人格權加入「隱私」之項目來看，應以隱私權為核 心，加以個人資料為資訊隱私權之具體內容，故本法制定之目的，主 要是為了避免個人資訊隱私權益受到侵害。

另一方面，公務機關之施政及非公務機關之商業活動，仍需以大 眾之個人資料才得以運作，為符合避免個人隱私遭受侵害，透過立法 賦予當事人對於公務機關與非公務機關等資訊管理者持有之個人資 料，具查詢及請求閱覽，並得請求製給複製本、補充或更正、停止電 腦處理及利用及刪除之權利，以改變傳統隱私權之消極性質，讓重心 從事後之救濟轉向事前當事人行使一定之控制，以促進個人資料之合 理利用。

三、立法原則

「電資法」參考 OECD 規定之國內個人資料保護之八大原則，相關 條文及原則內容詳如第二章第三節所述，另整理如表 3-2-1：

表 3-2-1 個人資料保護原則 電資法相關條文

限制蒐集原則 第 6 條、第 7 條、第 18 條 正確性原則 第 13 條、第 16 條

目的明確化原則 第 18 條、第 23 條 限制利用原則 第 8 條、第 23 條。

安全保護原則 第 17 條

政策公開原則 第 10 條、第 21 條

個人參與原則 第 7 條第 2 款、第 8 條第 9 款、第 18 條第 1 款、第 23 條第 4 款

責任原則 第 5 章、第 5 章有關損害賠償及罰則規定 資料來源：研究者自行整理

四、電資法保護之權利主體及其權利

本法之權利主體為個人資料之當事人，且以生存之自然人為限。

死亡之自然人因人格權消滅，無適用本法餘地，法人則無隱私權，故 本法保護的權利主體，以現仍生存之自然人為限。

當事人之權利，依本法第 4 條之規定，包括請求就其個人資料得 查詢及請求閱覽，並得請求製給複製本、補充或更正其個人遺漏或錯 誤之個人資料、請求停止電腦處理及利用、請求刪除，不得預先拋棄 或以特約限制之，為本法賦予當事人積極防禦資訊管理者不當處理或 利用個人資料的權利。另外，當事人之隱私權益受損時，亦有請求損 害賠償之權利。

五、電資法適用之義務主體及其保護義務

本法規範的義務主體有公務機關及非公務機關，公務機關依本法 第三條第六款規定，係指依法行使公權力之中央或地方機關。而非公 務機關依同條第七款規定，係指以下所列之事業、團體或個人：

(一) 徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個 人。

(二) 醫院、學校¹³⁹、電信業、金融業、證券業、保險業及大眾傳播 業。

(三) 其他經法務部會同中央目的事業主管機關指定之事業、團體或 個人。

另依本法第 5 條規定，受公務機關或非公務機關委託處理資料之 團體或個人，於本法適用範圍內，其處理資料之人，視同委託機關之 人。

本法規範之主體，應對當事人盡保護義務。本法第 17 條規定，公

139 同註 39，此處非公務機關之學校應為私立學校。

務機關保有個人資料檔案者，應指定專人依相關法令辦理安全維護事 項，防止個人資料被竊取、竄改、毀損、滅失或洩漏，依第 23 條規定，

非公務機關亦準用上述之義務；另若有違反保護義務，主管機關得予 限期改正或科處罰鍰、撤銷許可或登記。

六、電資法保護之內容

立法之初，主要著眼於經電腦處理之個人資料，無論是在儲存、

傳輸、複製等方面皆較人工處理來的快速方便，對個人隱私之侵害有 較大之威脅性，故以人工處理之個人資料，則不在本法保護範圍，如 有侵害隱私則應以傳統之民刑法相繩；是故，本法保護之內容僅限於 經電腦處理之個人資料為範疇。

七、電資法之罰則

「電資法」第 33 條至 41 條規定之事項為違反本法之罰則，除第 35 條規範公務人員加重其刑、第 36 條宣告本章之罪採告訴乃論及第 37 條法律競合說明外，可歸納為刑事犯罪部分及行政秩序部分，行政 秩序部分為非公務機關之裁罰，與本文較無相關予以略過，刑事犯罪 茲以下表 3-2-2 說明：

表 3-2-2 刑事犯罪部分

條文 內容

33

意圖營利違反第 7 條、第 8 條、第 18 條、第 19 條第 1 項、第 2 項、第 23 條之規定或依第 24 條所發布之限制 命令，致生損害於他人者，處二年以下有期徒刑、拘役 或科或併科新臺幣四萬元以下罰金

34

意圖為自己或第三者不法之利益或損害他人之利益，而 對於個人資料檔案為非法輸出、干擾、變更、刪除或以 其他非法方法妨害個人資料檔案之正確，致生損害於他 人者，處三年以下有期徒刑、拘役或科新臺幣五萬元以 下罰金

資料來源：研究者自行整理

第 33 條之規定構成要件為意圖營利，且違反公務機關及非公務機 關對個人資料蒐集、處理及利用之相關規定或限制命令，對他人(當事 人)致生損害，行為人不管是否得逞皆可以本條規定相繩。第 34 條之規 定為不法利益之獲得或損害他人利益之不法意思，而為非法輸出、干 擾、變更、刪除個人資料等妨害正確之行為，致生對他人(當事人)之損 害以本條相繩。

貳、電資法內容檢討

本法做為個人資料保護法之基本法定位，為我國資訊隱私權的主 要守護者¹⁴⁰，在隱私權利尚未受到民眾大幅關切之時，可謂促進社會進 步之立法。然自 1996 年公佈施行以來，已歷 12 年餘，時空環境的轉 變，以及施行以後相關法條窒礙難行的部分牽制，造成當事人權益之 保障仍多有不足。就現行內容之檢討歸納以下：

一、無法涵蓋所有個人資料的範圍

依「電資法」第 3 條規定，其保護之內容為使用電腦或自動化機 器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其 他處理。雖然目前個人資料進行上述行為多經由電腦，且經電腦處理 之個人資料，亦較有發生個人權利遭受侵害的可能，故仍較人工處理 有迫切的需要¹⁴¹。然在現實社會中，人工處理個人資料亦可能肇生危害 個人隱私權益事件發生，此即為本法保障保人資料受到電腦處理前提 的局限。

以學校為例，於學期初均會進行學生個人緊急聯絡名冊之填寫，

填畢收齊後予以裝訂成冊供聯繫家長用，若無妥善保管，極易遺失或 遭抄錄，此即為「電資法」所無從適用，故保護的內容限於經電腦處 理之個人資料未及於人工處理行為，可能成為保護範圍的一大罅漏。

140 參閱陸啟超，同註 95，頁 137。

141 參閱賴靜儀，同註 82，頁 78。

而這部分在本法第 2 條規定「其他法律另有規定者，依其規定」，此種 情況，固然可以依刑法妨害祕密罪及民事上侵犯人格權進行損害賠償 等方式相繩，但以「電資法」為專法的角度及欲完成「形成資訊隱私 保護法體系」¹⁴²視之，仍應予以部分範圍修正，以放寬適用內容。

二、非公務機關界定仍有不足

「電資法」第 3 條界定之非公務機關，受本法之約束，以本法第 18 條觀之，不可謂不嚴。但以現今侵害隱私權之態樣觀之，僅規範上 僅列上述「八大行業」實為不足，嚴格的管理規定亦無義務主體適用 之處。以「徵信業及以蒐集或電腦處理個人資料為主要業務之團體或 個人」來看，其他「附隨或伴隨地」從事蒐集或電腦處理個人資料行 業者，或雖以蒐集個人資訊為主要業務，但不屬於上述八大行業者，

如網際網路服務業者、入口網站、多層次傳銷公司等，可能就有適法 上之疑義¹⁴³。

雖然第 3 條定有「其他經法務部會同中央目的事業主管機關指定 之事業、團體或個人」視為非公務機關之範圍，另第五條規定「受公 務機關或非公務機關委託處理資料之團體或個人，於本法適用範圍 內，其處理資料之人，視同委託機關之人。」但往往發生個人資料遭 到更改，或經詐騙集團盜用於詐欺行為時，才會引發大眾關注，主管 機關才會在輿論壓力下予以研商納入、推動修法¹⁴⁴，如此一來，往往迫 在眉睫的重要問題處理起來緩不濟急。此一規範上之漏洞，使「電資 法」保障隱私權益的美意，大打折扣。

142 參閱湯德宗，〈資訊革命與正當法律程序-行政程序法施行兩週年展望〉，《月旦法學雜誌》，96

142 參閱湯德宗，〈資訊革命與正當法律程序-行政程序法施行兩週年展望〉，《月旦法學雜誌》，96